-
Assertiva D
O relatório de análise de risco deve conter identificação e classificação de ativos e processos de negócio, análise de ameaças e vulnerabilidades, e análise e parametrização de riscos e definição de tratamento dos riscos.
elaborar o plano de tratamento dos riscos, identificando-se as ações de gestão apropriadas, os recursos a serem utilizados e as responsabilidades para a gestão dos riscos em segurança da informação.
-
Elaborar um plano de tratamento de riscos.......
-
ISO 27001/2006
4 Sistema de gestão de segurança da informação
4.2 Estabelecendo e gerenciando o SGSI
4.2.2 Implementar e operar o SGSI
b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.
-
ISO 27001/2013
a) Planejamento (Plan)
6.1.2 Avaliação de riscos de segurança da informação
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação;
b) Checar/monitorar (Check).
9.1 Monitoramento, medição, análise e avaliação
A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação
c) Não achei o ponto exato mas acredito que possa ter relação com Planejamento e Ação
5 Liderança e 10 Melhoria
d) Fazer (Do)
8 Operação
...
8.3 Tratamento de riscos de segurança da informação
A organização deve implementar o plano de tratamento de riscos de segurança da informação.
e) Planejamento (Plan)
5.3 Autoridades, responsabilidades e papéis organizacionais
A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuidos e comunicados.
-
Complicado hein, no edital foi especificado que era a versão de 2005? A de 2013 não faz nenhuma menção ao PDCA.
2005: The standard clearly states that it follows the PDCA (Plan-Do-Check-Act) model.
2013: The standard does not specify any particular process model. The standard requires that a process of continual improvement is used.
Fonte: www.itgovernance.co.uk/download/27001-update-reference-sheet.pdf
-
elaborar o plano de tratamento dos riscos, identificando-se as ações de gestão apropriadas, os recursos a serem utilizados e as responsabilidades para a gestão dos riscos em segurança da informação.
-
Bom Pessoal, como a pergunta se refere ao ciclo PDCA, temos na seção 6 da 27001 o tratamento de riscos.
No entanto, temos na 27005 a especificação de como deve ser feito esse tratamento. É na 27005 que a norma cita o ciclo PDCA.
Em um SGSI, a definição do contexto, o processo de avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase "planejar". Na fase "executar" do SGSI, as ações e controles necessários para reduzir os riscos para um nível aceitável são implementados de acordo com o plano de tratamento do risco. Na fase “verificar” do SGSI, os gestores determinarão a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias. Na fase “agir”, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.